В последней публикации IP адресов, относящихся в брутфорсу Xmlrpc, были ошибочно опубликованы адреса не относящие к данному поведению, в том числе посетителей сайта.
На проблему обратил внимание @OlegDubovko, в соответствующей публикации!
В результате анализа было выявлена:
- Проблема парсинга URL адресов, в результате не корректного разбора URL обращения.
- В подборку попали адреса обращавшиеся к прошлой публикации.
На текущий момент, все адреса из последней публикации удалены!
Если ваш IP адрес попал в предыдущие публикации, сообщите нам в комментарии (для не зарегистрированных пользователей доступен Инвайт регистрации) или по электронной почте.
Проверить свой IP адрес, вы можете через службу curlmyip.
Важные замечания:
- Мы не блокируем IP адреса, так как это не правильное поведение. За одним IP может находится множество пользователей и из-за одного узла, внутри сети, не корректно блокировать всех пользователей.
- В парсинг URL адресов внесены изменения, подобные ошибки не должны повторятся в будущем.
- Все опубликованные IP доступны только авторизованным пользователям и не попадают в кеш поисковых систем.
- Сбор IP происходит не только с нашего, а так же с других серверов, не связанных с SEC-1275-1.
- Все IP адреса проходят через службу дедубликации, адреса из сегодняшней подборки, даже в случае повторного попадания, не будут опубликованы.
В качестве благодарности, на адрес электронной почты OlegDubovko будет направлен ключ Kaspersky Plus (не является рекламной акцией).
Мы временно приостанавливаем публикацию данного типа индикаторов, проведем аудит уже опубликованных индикаторов, доработаем инструментарий.
Подключим дополнительные сервера для сбора данной активности.